ארגונים מתמודדים בימינו עם ניסיונות תקיפה בלתי פוסקים, החל ממתקפות המתמקדות בעובדים ועד למתקפות מתוחכמות על תשתיות קריטיות, המבוצעות על ידי קבוצות תקיפה בחסות מדינות אויב. כמות ההשקעה במערכי ההגנה בארגון כבר נוגסת נתח גדול מהתקציב, אך מצד שני, לפי סקר של פורטינט, 51% מחברי הדירקטוריון ומנהלי אבטחת מידע ברמת C-Level נענשו בצורה משמעותית, כולל קנסות, פיטורין ואף ישיבה בכלא בעקבות נזקי מתקפות סייבר בארגון.
גם בישראל, הרשות להגנת הפרטיות מוציאה בימים אלו הנחיה מחייבת שתקבע כי מי שיישא, בין היתר, באחריות על אבטחת המידע בארגון יהיה הדירקטוריון. זאת בנוסף לחוק החברות, שכבר מטיל אחריות אישית על מנהלים בחברה במידה שלא נקטו צעדים כדי למנוע נזק אשר ניתן היה לצפות שיקרה.
באילו מקרים תוטל אחריות אישית על נזק "שאפשר היה לצפות שיקרה"? ואיך מצופה מאנשי אבטחת המידע והמנהלים הבכירים לכסות את כל הפערים כדי למנוע נזקים? כשמסתכלים על מרחב האיומים המתפתח בצורה אקספוננציאלית, מבינים כי מבחינת התוקפים השמים הם הגבול וחשוב להיות מודעים למגמות התקיפה ולהבין את הסיכונים, אך חשוב באותה מידה גם לא לירות לכל הכיוונים ולתכנן את מערכי ההגנה של הארגון בצורה חכמה, יעילה וחסכונית.
מגמות בולטות במרחב האיומים
דו"ח תחזיות איומי הסייבר לשנת 2025 של פורטינט מציג כמה מגמות מדאיגות לגבי התחכום והנפח של מתקפות הסייבר. לפי חוקרי פורטינט, יש קבוצות תקיפה המשתפות פעולה ביניהן ומעבירות את "הלקוח" בסוג של שרשרת תקיפה, שכל חוליה בה מתבצעת על ידי קבוצה אחרת. למשל, קבוצה המתמחה במודיעין מבצעת את איסוף המידע ואז שולחת את היעד לקבוצת התקיפה שמתמחה בסוג התקיפה המתאים וכן הלאה, כך שכל חוליה בשרשרת מבוצעת על ידי המומחים באותו היבט תקיפה.
המגמה הבולטת ביותר היא כמובן שילוב AI ולמידת מכונה. תוקפים משתמשים היום ב-AI כדי להגביר את האפקט של מתקפות מסוימות. למשל, מתקפות Phishing ו-Spear phishing שמיוצרות אוטומטית על ידי AI נראות אמינות הרבה יותר מפעם. זאת לצד סוגי מתקפות חדשות, כמו שימוש ב-Deep Fake ליצירת קול ווידיאו. שילוב של כלי AI מאפשר לתוקפים להגביר את הקצב והנזק של המתקפות, אך גם להיות יצירתיים וליצור סוגי מתקפות שלא ראינו עד היום.
לקבלת מידע נוסף אודות מגמות איומי הסייבר החדשות והדרכים לשיפור החוסן של הארגון מול נוף האיומים המשתנה לחצו כאן.
שכבת ההגנה החשובה ביותר
העוסקים במלאכת ההגנה מכירים את התפיסה של Defense in Depth — מערכי הגנה רב-שכבתיים, שכל אחת מהשכבות בהם מוסיפה הגנה, כך שאם התוקף הצליח להתגבר על שכבה אחת הוא ייעצר בשכבה אחרת שמגינה על הרשתות בארגון.
את ההתרעות המגיעות מכל מערכי ההגנה צריך לנהל בצורה מרכזית, ולכן אחת משכבות ההגנה החשובות והכוללות ביותר היא ניטור ובקרה, או במילה אחת — SOC. במרכז הבקרה יושבים אנליסטים מומחים עם עיניים על מערכות הארגון 24/7/365, כי כידוע התוקפים לא נחים לרגע. פלטפורמת SOC בנויה על גבי מערכת ניהול אבטחת מידע ואירועים (SIEM), שצריכה לנטר את כל המערכות האפשריות בארגון. ככל שה-SIEM מנטרת יותר מערכות, היא תצליח לזהות תבניות תקיפה מורכבות יותר.
שכבת הניטור והבקרה היא אחת משכבות ההגנה היקרות ביותר, בין אם בהשקעה בהקמת התשתית ל-SOC פנימי ובין אם בתשלום לחברות שירותי SOC מנוהל, ויש לכך סיבה. כמות ההתרעות שאנליסטים מטפלים בהן גדלה לנפחים בלתי אפשריים, מה שגורם לאטיות בזיהוי מתקפות ולסינדרום "Alert Fatigue", שגורם לפספוסים וטעויות ומצריך תגבור של מערך האנליסטים וגורר עקב כך עלויות נוספות.
כאן נכנסת מערכת האוטומציה (SOAR), שצריכה להיות בכל SOC מודרני. המערכת מאפשרת להפחית בצורה משמעותית את כמות ההתרעות, באמצעות בניית טיפול אוטומטי חכם בהתרעות חוזרות, ולמקד את תשומת הלב של האנליסטים במה שחשוב באמת.
פלטפורמת SOC מודרנית מפחיתה עלויות באמצעות שימוש ב-ML/AI ואוטומציה. אם התוקפים משתמשים בכלים אלו, נדרש להשתמש בהם גם במערכי ההגנה כדי להגיב במהירות וביעילות לכל חשד למתקפה.
להשקיע חכם
פורטינט פיתחה כבר לפני כעשור מודול ML שנרשמו עליו לא מעט פטנטים. במודול זה נעשה שימוש באיסוף טריליונים של התרעות ממערכות החברה ברחבי העולם, ניתוחם ודחיפת המזהים של המתקפות חזרה למערכות של פורטינט.
בליבת פלטפורמת ה-SOC החדשנית של פורטינט נמצאים FortiSIEM ו-FortiSOAR, העושים שימוש במודול ה-ML של FortiGuard Labs כדי לזהות במהירות וביעילות חשד לתקיפה, להתריע בפני האנליסטים ולהפעיל פעולות אוטומטיות להכלה וחסימת המתקפה. בנוסף, FortiSIEM הוא בין מוצרי ה-SIEM הבודדים שמסוגלים לנטר את כל קטגוריות הרכיבים בארגון, כולל OT/IT/IoT, ולעשות זאת הן בהיבט אבטחתי והן בהיבט של בריאות המערכת, ניטור SOC/NOC ועוד.
כדי לעזור לאנליסטים בחקירה ובעבודה השוטפת של יצירת חוקים, playbooks לפעולות אוטומטיות ועוד, פורטינט הטמיעה את FortiAI. ניתן לשאול אותו שאלה בשפה טבעית או לתת לו פקודות קוליות והוא יבצע את החקירה — כולל ציד איומים מותאם — ימליץ על פעולות נוספות, ייצור דו"ח אוטומטי על החקירה ומסקנותיה ויבצע פעולות הכלה וחסימה אוטומטיות.
סקר של קבוצת המחקר ESG לגבי שימוש במוצרי FortiSIEMו-FortiSOAR מצא ששימוש בהם מקצר את זמן הזיהוי של מתקפה מ-21 יום לפחות משעה, כולל זיהוי, הכלה וטיפול. מדובר בחיסכון משמעותי בזמן שבו התוקף מסתובב במערכות הארגון. אבל בנוסף לכך, אם נתרגם חיסכון זה לעלויות, שימוש ב-FortiSIEM ו-FortiSOAR חוסך 99% מעלות הטיפול בהתרעה, מה שאומר חיסכון אדיר בעלויות.
לאתר הבית >>
הכותבת היא מנהלת פתרונות לתחום ה-SecOps בפורטינט ישראלבשיתוף פורטינט
